Applies ToWin 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows Server 2019 Windows 10 Enterprise Multi-Session, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 on Surface Hub Windows 10, version 21H1, all editions Windows 10, version 21H2, all editions

Zusammenfassung

Transport Layer Security (TLS) 1.0 und 1.1 sind Sicherheitsprotokolle zum Erstellen von Verschlüsselungskanälen über Computernetzwerke. Microsoft unterstützt sie seit Windows XP und Windows Server 2003. Die gesetzlichen Anforderungen ändern sich jedoch. Außerdem gibt es neue Sicherheitsschwächen in TLS 1.0. Daher empfiehlt Microsoft, tls 1.0- und 1.1-Abhängigkeiten zu entfernen. Außerdem wird empfohlen, TLS 1.0 und 1.1 nach Möglichkeit auf Betriebssystemebene zu deaktivieren. Weitere Informationen finden Sie unter Deaktivieren von TLS 1.0 und 1.1. Im Vorschauupdate vom 20. September 2022 deaktivieren wir TLS 1.0 und 1.1 standardmäßig für Anwendungen, die auf winhttp und wininet basieren. Dies ist Teil einer laufenden Bemühungen. Dieser Artikel hilft Ihnen, sie erneut zu aktivieren. Diese Änderungen werden nach der Installation von Windows-Updates wider, die am oder nach dem 20. September 2022 veröffentlicht wurden.  

Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links im Browser

Nach dem 20. September 2022 wird eine Meldung angezeigt, wenn Ihr Browser eine Website öffnet, die TLS 1.0 oder 1.1 verwendet. Siehe Abbildung 1. Die Meldung besagt, dass die Website ein veraltetes oder unsicheres TLS-Protokoll verwendet. Um dies zu beheben, können Sie das TLS-Protokoll auf TLS 1.2 oder höher aktualisieren. Wenn dies nicht möglich ist, können Sie TLS wie unter Aktivieren von TLS Version 1.1 und niedriger beschrieben aktivieren.

Internet Explorer-Fenster beim Zugriff auf TLS 1.0- und 1.1-Link

Abbildung 1: Browserfenster beim Zugriff auf TLS 1.0- und 1.1-Webseiten

Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links in winhttp-Anwendungen

Nach dem Update können auf winhttp basierende Anwendungen fehlschlagen. Die Fehlermeldung lautet: "ERROR_WINHTTP_SECURE_FAILURE beim Ausführen des WinHttpSendRequest-Vorgangs."

Verhalten beim Zugriff auf TLS 1.0- und 1.1-Links in benutzerdefinierten Benutzeroberflächenanwendungen basierend auf winhttp oder wininet

Wenn eine Anwendung versucht, eine Verbindung mit TLS 1.1 und niedriger herzustellen, scheint die Verbindung möglicherweise fehlzuschlagen. Wenn Sie eine Anwendung schließen oder nicht mehr funktionieren, wird das Dialogfeld Programmkompatibilitäts-Assistent (PCA) wie in Abbildung 2 dargestellt angezeigt.

Popupfenster des Programmkompatibilitäts-Assistenten nach dem Schließen der Anwendung

Abbildung 2: Dialogfeld "Programmkompatibilitäts-Assistent" nach dem Schließen einer Anwendung

Im PCA-Dialogfeld wird folgendes angezeigt: "Dieses Programm wurde möglicherweise nicht ordnungsgemäß ausgeführt." Darunter gibt es zwei Optionen:

  • Ausführen des Programms mithilfe von Kompatibilitätseinstellungen

  • Dieses Programm wurde ordnungsgemäß ausgeführt

Ausführen des Programms mithilfe von Kompatibilitätseinstellungen

Wenn Sie diese Option auswählen, wird die Anwendung erneut geöffnet. Jetzt funktionieren alle Links, die TLS 1.0 und 1.1 verwenden, ordnungsgemäß. Ab dann wird kein PCA-Dialogfeld angezeigt. Der Registrierungs-Editor fügt den folgenden Pfaden Einträge hinzu:

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers. 

Wenn Sie diese Option versehentlich ausgewählt haben, können Sie diese Einträge löschen. Wenn Sie sie löschen, wird beim nächsten Öffnen der App das PCA-Dialogfeld angezeigt.

Liste der Programme, die mit Kompatibilitätseinstellungen ausgeführt werden sollen

Abbildung 3: Liste der Programme, die mit Kompatibilitätseinstellungen ausgeführt werden sollen

Dieses Programm wurde ordnungsgemäß ausgeführt

Wenn Sie diese Option auswählen, wird die Anwendung normal geschlossen. Wenn Sie die Anwendung das nächste Mal erneut öffnen, wird kein PCA-Dialogfeld angezeigt. Das System blockiert alle TLS 1.0- und 1.1-Inhalte. Der Registrierungs-Editor fügt dem PfadComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store den folgenden Eintrag hinzu . Siehe Abbildung 4. Wenn Sie diese Option versehentlich ausgewählt haben, können Sie diesen Eintrag löschen. Wenn Sie den Eintrag löschen, wird beim nächsten Öffnen der App das PCA-Dialogfeld angezeigt.

Eintrag im Registrierungs-Editor, der angibt, dass die App ordnungsgemäß ausgeführt wurde

Abbildung 4: Eintrag im Registrierungs-Editor, der angibt, dass die App ordnungsgemäß ausgeführt wurde

Wichtig Ältere TLS-Protokolle sind nur für bestimmte Anwendungen aktiviert. Dies gilt auch, wenn sie in systemweiten Einstellungen deaktiviert sind.

Aktivieren Von TLS Version 1.1 und niedriger (Wininet- und Internet Explorer-Einstellungen)

Es wird davon abgeraten, TLS 1.1 und niedriger zu aktivieren, da sie nicht mehr als sicher gelten. Sie sind anfällig für verschiedene Angriffe, z. B. den POODLE-Angriff. Führen Sie daher vor dem Aktivieren von TLS 1.1 eine der folgenden Aktionen aus:

  • Überprüfen Sie, ob eine neuere Version der Anwendung verfügbar ist.

  • Bitten Sie den App-Entwickler, Konfigurationsänderungen in der App vorzunehmen, um die Abhängigkeit von TLS 1.1 und niedriger zu entfernen.

Falls keine der Lösungen funktioniert, gibt es zwei Möglichkeiten, ältere TLS-Protokolle in systemweiten Einstellungen zu aktivieren:

  • Internetoptionen

  • Gruppenrichtlinien-Editor

Internetoptionen

Um Internetoptionen zu öffnen, geben Sie Internetoptionen in das Suchfeld auf der Taskleiste ein. Sie können auch einstellungen ändern aus dem in Abbildung 1 gezeigten Dialogfeld auswählen. Scrollen Sie auf der Registerkarte Erweitert im Bereich Einstellungen nach unten. Dort können Sie TLS-Protokolle aktivieren oder deaktivieren.

Fenster "Internetoptionen"

Abbildung 5: Dialogfeld "Interneteigenschaften"

Der Gruppenrichtlinie-Editor

Um den Gruppenrichtlinie-Editor zu öffnen, geben Sie gpedit.msc in das Suchfeld der Taskleiste ein. Ein Fenster wie in Abbildung 6 wird angezeigt. 

Editor-Fenster für Gruppenrichtlinien

Abbildung 6: Gruppenrichtlinie-Editor-Fenster

  1. Navigieren Sie zu Richtlinien > für lokale Computer(Computerkonfiguration oder Benutzerkonfiguration) > Administrative Templets > Windows-Komponenten > Internet Explorer > Internet Systemsteuerung > Erweiterte Seite > Verschlüsselungsunterstützung deaktivieren. Siehe Abbildung 7.

  2. Doppelklicken Sie auf Verschlüsselungsunterstützung deaktivieren.

    Pfad zum Deaktivieren der Verschlüsselungsunterstützung in GPedit.msc

    Abbildung 7: Pfad zum Deaktivieren der Verschlüsselungsunterstützung im Gruppenrichtlinie-Editor

  3. Wählen Sie die Option Aktiviert aus. Verwenden Sie dann die Dropdownliste, um die TLS-Version auszuwählen, die Sie aktivieren möchten, wie in Abbildung 8 dargestellt.

    Deaktivieren sie die Verschlüsselungsunterstützung mit einer Dropdownliste mit verschiedenen Optionen.

    Abbildung 8: Aktivieren Von Verschlüsselungsunterstützung deaktivieren und Dropdownliste

Nachdem Sie die Richtlinie im Gruppenrichtlinie-Editor aktiviert haben, können Sie sie nicht mehr unter Internetoptionen ändern. Wenn Sie beispielsweise SSL3.0 und TLS 1.0 verwenden auswählen, sind alle anderen Optionen unter Internetoptionen nicht verfügbar. Siehe Abbildung 9. Sie können die Einstellungen unter Internetoptionen nicht ändern, wenn Sie die Option Verschlüsselungsunterstützung deaktivieren im Gruppenrichtlinie-Editor aktivieren.

Internetoptionen mit abgeblendeten SSL- und TLS-Einstellungen

Abbildung 9: Internetoptionen mit nicht verfügbaren SSL- und TLS-Einstellungen

Aktivieren von TLS Version 1.1 und niedriger (winhttp-Einstellungen)

Weitere Informationen finden Sie unter Update zum Aktivieren von TLS 1.1 und TLS 1.2 als sichere Standardprotokolle in WinHTTP unter Windows.

Wichtige Registrierungspfade (Wininet- und Internet Explorer-Einstellungen)

  • Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Hier finden Sie SecureProtocols, das den Wert der aktuell aktivierten Protokolle speichert, wenn Sie den Gruppenrichtlinie-Editor verwenden.

  • Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

    • Hier finden Sie SecureProtocols, das den Wert der derzeit aktivierten Protokolle speichert, wenn Sie Internetoptionen verwenden.

  • Gruppenrichtlinie SecureProtocols hat Vorrang vor dem von Internetoptionen festgelegten.

Aktivieren eines unsicheren TLS-Fallbacks

Die obigen Änderungen aktivieren TLS 1.0 und TLS 1.1. Sie aktivieren jedoch kein TLS-Fallback. Zum Aktivieren des TLS-Fallbacks müssen Sie EnableInsecureTlsFallback in der Registrierung unter den unten angegebenen Pfaden auf 1 festlegen.

  • So ändern Sie einstellungen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

  • So legen Sie die Richtlinie fest: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

Wenn EnableInsecureTlsFallback nicht vorhanden ist, müssen Sie einen neuen DWORD-Eintrag erstellen und auf 1 festlegen.

Wichtige Registrierungspfade

  1. ForceDefaultSecureProtocols  

    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp 

    • Dies ist standardmäßig FALSE. Das Festlegen eines Werts ungleich 0 (null) verhindert, dass Anwendungen mithilfe der Winhttp-Option benutzerdefinierte Protokolle festlegen.

  2. EnableInsecureTlsFallback 

    • So ändern Sie einstellungen: SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\winhttp

    • So legen Sie die Richtlinie fest: SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

    • Dies ist standardmäßig FALSE. Wenn Sie einen Wert ungleich Null festlegen, können Anwendungen auf unsichere Protokolle (TLS1.0 und 1.1) zurückgreifen, wenn der Handshake mit sicheren Protokollen (tls1.2 und höher) fehlschlägt.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.